На состоявшейся 17–18 марта в Москве IX конференции «Информационная безопасность АСУ ТП критически важных объектов», традиционно обсуждались наиболее актуальные вопросы обеспечения защиты промышленных объектов и критической инфраструктуры от киберугроз.
Об особенностях построения центра реагирования на инциденты (SOC) рассказал заместитель генерального директора по научно-технической работе УЦСБ Николай Домуховский. Именно SOC позволяет собирать события информационной безопасности с различных средств защиты, быстро обнаруживать в них признаки нападения, блокировать распространение атаки, параллельно аккумулировать информацию об инциденте и направлять ее в соответствии с Федеральным законом № 187 в систему ГосСОПКА. Если же из этой системы поступает конкретное предупреждение об атаке с подробным описанием признаков заражения, то инструменты SOC обеспечивают возможность проверить на инфраструктуре наличие этих признаков, а иногда и провести анализ на них исторических данных – в зависимости от функциональных возможностей SOC. Таким образом, компаниям, которым приходится защищаться от высокоуровневых угроз, необходимо иметь собственный SOC либо арендовать его.
Все выступления можно посмотреть здесь
